老舗のディスクイメージマウントソフト「DAEMON Tools Lite」の公式インストーラーに、マルウェアが混入していたことが明らかになりました。セキュリティ企業のKasperskyによると改ざんは2026年4月8日から始まっていたとのことで、開発元のDisc Soft Limitedは問題を認めた上でマルウェアを含まないバージョン12.6.0.2445を公開しています。

Popular DAEMON Tools software compromised | Securelist

https://securelist.com/tr/daemon-tools-backdoor/119654/

Security Incident Affecting DAEMON Tools Lite: What We Know So Far

https://blog.daemon-tools.cc/jpn/post/security-incident

Widely used Daemon Tools disk app backdoored in monthlong supply-chain attack - Ars Technica

https://arstechnica.com/security/2026/05/widely-used-daemon-tools-disk-app-backdoored-in-monthlong-supply-chain-attack/

DAEMON Tools devs confirm breach, release malware-free version

https://www.bleepingcomputer.com/news/security/daemon-tools-devs-confirm-breach-release-malware-free-version/

Kasperskyは2026年5月に、DAEMON Toolsの公式サイトから配布され、開発元のデジタル証明書で署名されたインストーラーが悪意あるペイロードを含んでいることを確認しました。影響を受けたのはDAEMON Tools Liteの12.5.0.2421から12.5.0.2434までで、通常の公式配布経路から入手したソフトウェアが感染源になるサプライチェーン攻撃だったとされています。



攻撃者は、インストールされたDAEMON Tools Lite内の「DTHelper.exe」「DiscSoftBusServiceLite.exe」「DTShellHlp.exe」などのバイナリを改ざんしていました。これらのファイルはDAEMON Tools Liteのインストール先に置かれ、開発元である「AVB Disc Soft」の署名も付いていたため、利用者側から見れば正規のソフトウェアに見えやすい状態でした。

改ざんされたバイナリがPC起動時などに実行されると、内部に仕込まれたバックドアが有効化され、攻撃者が管理するサーバーへ通信を行います。通信先のドメインは正規の「daemon-tools.cc」に似せたタイポスクワッティング用のドメインで、サプライチェーン攻撃が始まる約1週間前の3月27日に登録されていたとされています。

最初に展開されるペイロードは情報収集用のマルウェアで、MACアドレス、ホスト名、DNSドメイン名、実行中プロセス、インストール済みソフトウェア、システムロケールなどを収集していました。Kasperskyはこの情報が感染端末の選別に使われ、その結果に基づいて一部の端末に追加のペイロードが送り込まれたとみています。

以下は中国語の文字列を含む情報収集用コードのスクリーンショット。



Kasperskyのテレメトリでは、DAEMON Tools経由のペイロード展開の試みが数千件観測され、ロシア・ブラジル・トルコ・スペイン・フランス・イタリア・中国など、100以上の国と地域の個人や組織が影響を受けていました。ただし、追加のペイロードが展開された端末は約十数台にとどまり、対象はロシア、ベラルーシ、タイの政府組織や研究組織、製造・小売の企業だったため、攻撃には標的型の性格があったとみられています。

追加で確認されたペイロードの1つは、ファイルのダウンロード、シェルコマンドの実行、メモリ上でのシェルコード実行が可能な軽量バックドアでした。さらに、ロシアの教育機関に属する1台の端末では、HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3など複数の通信方式に対応し、notepad.exeやconhost.exeにペイロードを注入できる「QUIC RAT」も確認されています。

Kasperskyは、DAEMON Toolsの侵害は高度に組織化されたもので、発見までに約1カ月かかった点は過去の大規模サプライチェーン攻撃にも匹敵すると指摘しています。公式サイトから配布され、正規のデジタル署名が付いたソフトウェアをインストールするだけで感染が起こり得るため、通常の利用者が事前に見抜くのは難しい攻撃だったとのこと。

Disc Soft Limitedは内部調査の結果、インフラへの不正な干渉があり、ビルド環境内の一部インストールパッケージが影響を受けたと説明。同社は5月5日7時ごろに通知を受けてから12時間以内に、影響を受けたシステムの隔離、配布ファイルの削除、ビルド・リリース工程の監査、インストーラーの再構築と検証、監視強化を行ったと報告しています。

Disc Soft Limitedによると、問題のあったバージョン12.5.1は削除され、すでにサポート対象外となっているとのこと。5月5日に公開されたDAEMON Tools Lite 12.6、および最新版の12.6.0.2445には問題の挙動は確認されておらず、同社は公式ソースから最新版を入手する限り継続的なリスクはないと説明しています。

Disc Soft Limitedは、影響はDAEMON Tools Liteの無料版に限定され、DAEMON Tools Ultra、DAEMON Tools Pro、その他の製品には影響しないとしています。影響期間中にDAEMON Tools Lite 12.5.1の無料版をダウンロードまたはインストールしたユーザーに対しては、アプリをアンインストールし、信頼できるセキュリティソフトでフルスキャンを実行した上で、公式サイトから最新版のDAEMON Tools Lite 12.6を入手するよう呼びかけています。